Gemt

Må en privat virksomhed videregive persondata til brug for almindelig produktudvikling af IT-løsninger?

03. maj 2024

Som udgangspunkt er svaret nej, men der er undtagelser. Dem kan du blive klogere på her.


Det følger af GDPR, at man som dataansvarlig ikke bare kan videregive persondata til en anden dataansvarlig uden et lovligt formål. Det mest almindelige lovlige formål er ”videregivelse til brug for opfyldelse af en kontrakt”. Det kunne f eks. være en webshops videregivelse af kundedata til pakketransportøren.

Den samme grundsætning gælder også når vi har med software at gøre. Overlader du data til din databehandler i overensstemmelse med databehandleraftalen, er der ikke noget problem. Udnytter databehandleren dine data til andet end det der er forudsat i databehandleraftalen - f.eks. til videreudvikling af software- bliver databehandleren pludselig selvstændig dataansvarlig, og så kræver det, at du har en hjemmel til at overføre data til dette formål.

Google Workspace
I sagen om brug af Google Workspace i folkeskolerne vurderede Datatilsynet i januar i år, at der ikke er hjemmel til videregivelse af personoplysninger til Google til alle de formål, der videregives til i dag. Datatilsynet så på, hvorvidt folkeskoleloven kunne antages at indeholde en hjemmel til den slags videregivelser. Konklusionen blev, at loven godt kunne danne grundlag for en videregivelse af persondata til forbedring af den til skolen skolen udviklede software, men at den altså ikke indeholdt en sådan hjemmel, når vi taler generel softwareudvikling, som kommer mange andre kunder til gode.

Hvad gør man så?
En sådan hjemmel kunne formentlig findes i interesseafvejningsreglen i art 6. litra f) GDPR, men den må ikke bruges af offentlige myndigheder som led i udførelsen af deres opgaver. Medmindre der sker lovmæssige ændringer, der skaber det fornødne formål til videregivelsen, eller der sker en anonymisering af data, der bevirker, at GDPR slet ikke finder anvendelse, har det offentlige derfor kun den mulighed at få Google til at ændre deres brug af persondata - eller finde en anden leverandør, der ikke bruger data til generel produktudvikling.

Hvad så med privat markedet?
Private virksomheder må til gengæld gerne gøre brug af interesseafvejningsreglen – så længe man oplyser de registrerede (kunderne) om, at man videregiver deres data til et generelle produktudviklingsformål til glæde for f.eks. kunderne selv og til gavn for den til enhver tid ”state of the art” digitalisering af det danske samfund (andre eksempler kan bruges). Denne oplysning skal tilgå de registrerede på et så tidligt tidspunkt som muligt, og kan derfor f.eks. nedfældes i privatlivspolitikken.

Hvad skal jeg gøre?
Tjek dine IT kontrakter og databehandleraftaler og find ud af, om dine data bruges til generel videreudvikling. Er dette tilfældet skal du som minimum justere din persondatapolitik jf. ovenfor.

Se i øvrigt Datatilsynets udtalelse om andre cloudprodukter:

Region Syddanmarks påtænkte brug af Microsoft 365 (datatilsynet.dk)

Kommunernes respons finder du på KL´s hjemmeside:

Få indblik i Chromebook-sagen (kl.dk)

Kontakt

Handel

Sven Petersen

Erhvervsjuridisk fagchef
Medarbejderprofil